The GitHub Blog
·
保护我们的家庭实验室:Frigate代码审查
原文英文,约1400词,阅读约需6分钟。
📝
内容提要
GitHub Security Lab发现了Frigate开源项目存在的安全漏洞。其中包括反序列化漏洞和跨站请求伪造漏洞。攻击者可以利用这些漏洞实现远程代码执行和配置文件篡改。该项目已发布了补丁,并建议用户尽快更新到最新版本。
🎯
关键要点
-
GitHub Security Lab发现Frigate开源项目存在安全漏洞,包括反序列化漏洞和跨站请求伪造漏洞。
-
攻击者可以利用这些漏洞实现远程代码执行和配置文件篡改。
-
Frigate是一个开源网络视频录制器,支持多种消费级安全摄像头的视频流。
-
Frigate的配置更新方式包括通过本地配置文件、用户界面或REST API。
-
反序列化漏洞(CVE-2023-45672)允许攻击者通过恶意负载执行任意代码。
-
跨站请求伪造漏洞(CVE-2023-45670)使得攻击者可以在没有身份验证的情况下更新服务器配置。
-
攻击者可以通过恶意网页发起“drive-by”攻击,利用API漏洞进行远程代码执行。
-
Frigate的/config API缺乏身份验证,允许攻击者任意拉取和更新配置。
-
建议Frigate用户尽快更新到最新版本以修复这些漏洞。
